Windows 10/8 bao gồm một tính năng bảo mật mới được gọi là Secure Boot , bảo vệ cấu hình khởi động Windows và các thành phần, đồng thời tải trình điều khiển Chống phần mềm độc hại khởi động sớm^{(Early Launch Anti-malware)} ( ELAM ). Trình điều khiển này khởi động trước các trình điều khiển khởi động khác và cho phép đánh giá các trình điều khiển đó và giúp nhân Windows^{(Windows kernel)} quyết định xem chúng có nên được khởi chạy hay không. Bằng cách được khởi chạy trước bởi hạt nhân, ELAM được đảm bảo rằng nó được khởi chạy trước bất kỳ phần mềm bên thứ ba nào khác. Do đó, nó có thể phát hiện phần mềm độc hại trong chính quá trình khởi động và ngăn nó tải hoặc khởi tạo.

Khởi động sớm tính năng bảo vệ chống phần mềm độc hại^{(Launch Anti-Malware)}

Windows Defender tận dụng tính năng Chống Phần mềm độc hại^{(Anti-Malware)} Khởi động Sớm và do đó, bạn thấy rằng nó không còn tải sau khi quá trình khởi động hoàn tất, nhưng sẽ sớm xảy ra trong quá trình khởi động.

Phần mềm chống vi-rút của bên thứ ba cũng có thể tận dụng công nghệ ELAM . Để làm như vậy, họ sẽ phải tích hợp cùng khả năng Chống Phần mềm độc hại Khởi động sớm^{(Early Launch Anti-Malware)} ( ELAM ) trong phần mềm của họ. Để giúp các nhà cung cấp phần mềm bảo mật bắt đầu, Microsoft đã phát hành báo cáo^(whitepaper)  chính thức cung cấp thông tin về việc phát triển trình điều khiển Chống phần mềm độc hại^{(Anti-Malware)} khởi chạy sớm ( ELAM ) cho Windowscác hệ điều hành. Nó cung cấp hướng dẫn cho các nhà phát triển chống phần mềm độc hại để phát triển các trình điều khiển chống phần mềm độc hại được khởi tạo trước các trình điều khiển khởi động khác và đảm bảo rằng các trình điều khiển tiếp theo đó không chứa phần mềm độc hại. Một số công ty chống vi-rút, những người đã phát hành các giải pháp cập nhật của họ cho Windows đã tích hợp công nghệ này.

Trình điều khiển khởi động Early Launch Antimalware đã phân loại các trình điều khiển như sau:

1. Tốt^(Good) : Trình điều khiển đã được ký và không bị giả mạo.
2. Kém^(Bad) : Trình điều khiển đã được xác định là phần mềm độc hại. Bạn không nên cho phép khởi tạo các trình điều khiển xấu đã biết.
3. Lỗi, nhưng bắt buộc để khởi động^{(Bad, but required for boot)} : Trình điều khiển đã được xác định là phần mềm độc hại, nhưng máy tính không thể khởi động thành công nếu không tải trình điều khiển này.
4. Không xác định^(Unknown) : Trình điều khiển này chưa được ứng dụng phát hiện phần mềm độc hại của bạn chứng thực và chưa được phân loại bởi trình điều khiển khởi động Early Launch Antimalware .

Theo mặc định, Windows 10 tải những trình điều khiển đã được phân loại là Tốt^(Good) , Không xác định^(Unknown) và Xấu^(Bad) nhưng Khởi động quan trọng^{(Boot Critical)} ; tức là 1, 3 và 4 ở trên. Trình^(Bad) điều khiển không hợp lệ không được tải.

Định cấu hình Chính sách khởi tạo trình điều khiển Boot-Start^{(Boot-Start Driver Initialization Policy)} bằng Trình chỉnh sửa chính sách nhóm^{(Group Policy Editor)}

Mặc dù cài đặt này tốt nhất nên để ở giá trị mặc định, nếu muốn, bạn có thể thay đổi cài đặt này thông qua Trình chỉnh sửa chính sách nhóm^{(Group Policy Editor)} của mình . Để làm như vậy, hãy mở menu WinX > Run > gpedit.msc> Nhấn Enter^{(Hit Enter)} . Điều hướng^(Navigate) đến cài đặt chính sách sau:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

Trong ngăn bên phải, nhấp đúp vào  Chính sách khởi tạo trình điều khiển Boot-Start^{(Boot-Start Driver Initialization Policy)} để cấu hình nó.

Bạn sẽ thấy cấu hình mặc định của Not Configured . Nếu bạn tắt hoặc không định cấu hình cài đặt chính sách này, các trình điều khiển khởi động được xác định là Tốt, Không xác định^(Unknown) hoặc Xấu^(Bad) nhưng Boot Critical sẽ được khởi chạy và việc khởi chạy các trình điều khiển được xác định là Xấu^(Bad) sẽ bị bỏ qua.

Nếu bạn Bật^(Enable) cài đặt chính sách này, bạn sẽ có thể chọn trình điều khiển khởi động khởi động để khởi động vào lần khởi động máy tính tiếp theo.

Nếu đang sử dụng Windows 10/8 , bạn muốn kiểm tra xem phần mềm chống phần mềm độc hại của mình có bao gồm trình điều khiển khởi động Early Launch Antimalware hay không. ^{(Antimalware)}Nếu không, tất cả các trình điều khiển khởi động sẽ được khởi tạo và bạn sẽ không thể tận dụng công nghệ ELAM mới này .

Early Launch Anti-Malware (ELAM) protection technology in Windows 10

Windows 10/8 includes a new security feature called Secure Boot, which protects the Windows boot configuration and componеnts, and loadѕ an Early Launch Anti-malware (ELAM) driver. This driver starts before other boot-start drivers and enables the evaluation of those drivers and helps the Windows kernel decide whether they should be initialized. By being launched first by the kernel, ELAM is ensured that it is launched before any other third-party software. It is, therefore, able to detect malware in the boot process itself and prevent it from loading or initializing.

Early Launch Anti-Malware protection

Windows Defender takes advantage of Early-Launch Anti-Malware, and you, therefore, see that it no longer loads after the start-up process is complete, but early on during the boot process.

Third-party antivirus software too, is able to take advantage of the ELAM technology. To do so, they will have to integrate the same Early Launch Anti-Malware (ELAM) capability in their software. To help security software vendors get started, Microsoft has released a whitepaper that provides information about developing Early Launch Anti-Malware (ELAM) drivers for Windows operating systems. It provides guidelines for anti-malware developers to develop anti-malware drivers that are initialized before other boot-start drivers, and ensure that those subsequent drivers do not contain malware. Several antivirus companies, who have released their updated solutions for Windows already incorporate this technology.

The Early Launch Antimalware boot-start driver has classified the drivers as follows:

1. Good: The driver has been signed and has not been tampered with.
2. Bad: The driver has been identified as malware. It is recommended that you do not allow known bad drivers to be initialized.
3. Bad, but required for boot: The driver has been identified as malware, but the computer cannot successfully boot without loading this driver.
4. Unknown: This driver has not been attested to by your malware detection application and has not been classified by the Early Launch Antimalware boot-start driver.

By default, Windows 10 loads those drivers which have been classified as Good, Unknown, and Bad but Boot Critical; ie 1, 3 and 4 above. Bad drivers are not loaded.

Configure Boot-Start Driver Initialization Policy using Group Policy Editor

While this setting is best left at its default value, if you wish, you can change this setting via your Group Policy Editor. To do so, open the WinX menu > Run > gpedit.msc > Hit Enter. Navigate to the following policy setting:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

In the right pane, double-click on  Boot-Start Driver Initialization Policy to configure it.

You will see the default configuration of Not Configured. If you disable or do not configure this policy setting, the boot-start drivers determined to be Good, Unknown or Bad but Boot Critical are initialized, and the initialization of drivers determined to be Bad is skipped.

If you Enable this policy setting, you will be able to choose which boot-start drivers to initialize the next time the computer is started.

If you are using Windows 10/8, you want to check if your anti-malware software includes an Early Launch Antimalware boot-start driver. If it doesn’t, all boot-start drivers will be initialized, and you will not be able to take advantage of this new ELAM technology.

Related posts

• Kích hoạt Enhanced Anti-Spoofing trong Windows 10 Hello Face Authentication

• Cách định dạng máy tính Windows 10

• Tính năng Removed trong Windows 10 v 21H1

• Cách bật hoặc Disable Automatic Learning trong Windows 10

• Kích hoạt, Disable Data Collection cho Reliability Monitor trong Windows 10

• Known Issue Rollback feature trong Windows 10 là gì

• Cortana Features, Tips and Tricks trong Windows 10

• Cách xem DPI Awareness Mode của Apps trong Windows 10 Task Manager

• Permissions Tool hiệu quả cho Files and Folders trong Windows 10

• Phần mềm và tính năng cần thiết cho PC chạy Windows 10 mới

• Cách mở Windows Mobility Centre trong Windows 10

• New tính năng cho các chuyên gia CNTT trong Windows 10 v 20H2 October 2020 Update

• Làm thế nào để bật hoặc tắt đề nghị xử lý sự cố trong Windows 10

• Làm thế nào để xem Photos như một Slideshow trên Windows 10

• Khởi chạy các tập tin dễ dàng với MyLauncher cho máy tính Windows 10

• Hide Toolbars option Trong Taskbar Context Menu trong Windows 10

• Cách sử dụng Start feature tươi trong Windows 10

• Làm thế nào để vô hiệu hóa Windows Mobility Centre trong Windows 10

• 15 tính năng mới của Windows 10 bạn cần bắt đầu sử dụng

• Convert PowerShell script (PS1) tập tin để EXE với IExpress trong Windows 10